牛刀小试，全面超越冰刃的新ARK工具XueTr

显示全部楼层 · 发表于 2009-3-11 22:40:43

目前我测试了下多款保险箱都还没能防御AppInit_Dlls
非常遗憾的说这些程序很危险

显示全部楼层 · 发表于 2009-3-11 22:40:50

原帖由 chenhui530 于 2009-3-11 22:37 发表
保险箱主要是保护程序，当然被天琊保护的程序在防注入上目前效果应该是比较理想的
遗憾的是保护了别人自己没保护好，天琊会被注入进去
但是被保护的进程不受影响，等正式版更正这个问题

防自己被注入很难实现吗？运行时候阻止自己创建线程不行？

显示全部楼层 · 发表于 2009-3-11 22:41:27

原帖由 backway 于 2009-3-11 22:40 发表
不清楚v系统
注册表项设权限的话删除难度就大些

也可以删除~~在驱动下权限几乎无效

显示全部楼层 · 发表于 2009-3-11 22:41:40

原帖由 chenhui530 于 2009-3-11 22:38 发表
进了驱动你可以自己设置一套权限
比如文件注册表之类的

原来如此，那等于自己设置了一套NTFS规则

显示全部楼层 · 发表于 2009-3-11 22:42:29

原帖由 tawny2008 于 2009-3-11 22:40 发表

防自己被注入很难实现吗？运行时候阻止自己创建线程不行？

你可能不了解AppInit_Dlls的机制，你了解了就不会这样说了
还有默认我们编译的EXE转移给我们控制权的时候已经晚了

显示全部楼层 · 发表于 2009-3-11 22:42:57

原帖由 backway 于 2009-3-11 22:40 发表
不清楚v系统
注册表项设权限的话删除难度就大些

注册表也是文件系统啊，并没什么出奇的地方，如果文件可以修改的话，注册表也可以修改的，删除可以看成修改的一种

显示全部楼层 · 发表于 2009-3-11 22:43:12

但是发现wsyscheck还是无法删除设权限的注册表项的

显示全部楼层 · 发表于 2009-3-11 22:43:16

所以大家在使用保险箱的时候千万注意
现在的多款保险箱都没能防住此行为

显示全部楼层 · 发表于 2009-3-11 22:44:31

原帖由 chenhui530 于 2009-3-11 22:40 发表
目前我测试了下多款保险箱都还没能防御AppInit_Dlls
非常遗憾的说这些程序很危险

AppInit_Dlls操作？陈辉兄何不出个评测贴

显示全部楼层 · 发表于 2009-3-11 22:45:35

原帖由 tawny2008 于 2009-3-11 22:40 发表

防自己被注入很难实现吗？运行时候阻止自己创建线程不行？

许多知名安软能不能防注入，更不要说一般的了。

[原创文章] 牛刀小试，全面超越冰刃的新ARK工具XueTr